​​Skupina Dr. Max s Logmanagerem získala vysoce výkonné řešení, které pomáhá s řešením problémů bezpečnostním specialistům, technikům IT podpory i administrátorům jednotlivých aplikací či systémů.

Výchozí situace

Dr. Max provozuje síť více jak 400 lékáren se 3000 zaměstnanci. Mimo České republiky působí i v dalších 7 evropských zemích. Skupina provozuje a spravuje velmi různorodé IT systémy určené pro chod nejen lékáren, ale i skladů, distribuce léčiv, jejich vývoj a výrobu. To vše vyžaduje řadu databázových systémů a velmi rozsáhlou počítačovou síť.

Každý ze systémů generuje velké množství důležitých strojových dat o své činnosti, stavu a aktivitách administrátorů a uživatelů.

Předchozí decentralizace ukládání logů způsobovala jejich složitou identifikaci a významně prodlužovala dobu nutnou k jejich vyřešení. A to i při podezření na bezpečnostní incidenty.

Důvody pro nasazení Logmanageru

Cílem zákazníka bylo sjednocení ukládání logů na externím zabezpečeném systému a získání uceleného přehledu o bezpečnosti a provozu informačních systémů.

Úložiště mělo zajišťovat dlouhodobé uchovávání informací v nezměnitelné podobě pro získání přehledu o stavu provozovaných systémů, přístupech k jednotlivým aplikacím nebo přesné zmapování činnosti privilegovaných účtů.

Úložiště muselo být zabezpečené tak, aby nemohlo dojít k mazání či jiné úpravě nasbíraných dat. Zvolené řešení nemělo být licenčně omezeno maximálním počtem zpracovávaných událostí za časovou jednotku ani maximálním počtem sledovaných zařízení a mělo umožnit zpracování velkého počtu událostí za vteřinu.

Vybrané řešení Logmanager XL těmto potřebám plně vyhovělo.

Implementace

V první fázi bylo cílem ověřit technické možnosti Logmanageru a přizpůsobit prostředí pro analýzu dat. Zákazníkovi tedy byla dodána testovací appliance Logmanager M s kapacitou úložiště 12 TB. V rámci úvodní instalace došlo k napojení autentizace uživatelů Logmanageru přes Active Directory. Pro sběr událostí byla vytipována referenční zařízení, která měla prověřit výkon systému, schopnost zpracování a analýzy uložených dat.

V druhé fázi byla dodána appliance Logmanager XL s kapacitou úložiště 100 TB. Tato appliance byla nainstalována v datovém centru společnosti. Byla provedena konfigurace do clusteru se zařízením dodaném v první fázi. Po přenesení konfigurace a replikaci všech dat byla odpojena appliance Logmanager M a zařízení umístěné v datovém centru bylo převedeno do produkčního režimu.

Následně byly nakonfigurovány vybrané aplikace a servery tak, aby zasílaly logy do Logmanageru. Jakmile byly logy  v Logmanageru dostupné, došlo k vytvoření specifických parserů. Vzhledem k velmi vysokému počtu událostí, generovaných zejména interními bezpečnostními prvky, byla provedena optimalizace zpracování dat. 

V rámci implementace byli pro práci s Logmanagerem proškoleni administrátoři, technici IT podpory a bezpečnostní pracovníci. Proběhlo také několik workshopů zaměřených na řešení specifických potřeb jednotlivých oddělení.

Přínosy pro zákazníka

Logmanager aktuálně přijímá a vyhodnocuje 10 000 událostí za vteřinu. V době špičky, která trvá mnohdy i několik hodin, platforma zpracovává až 25 000 událostí za vteřinu, což odpovídá 250 – 350 GB dat denně.

Spolu s profesionálním nasazením a následnou podporou certifikovaného partnera BIT SERVIS došlo k jednoduchému a rychlému nasazení z testovacího režimu přímo do produkčního prostředí.

Systém slouží především bezpečnostnímu managementu pro dohled.

Provozní zkušenosti ukázaly, že řešení může být také velmi efektivním nástrojem pro práci techniků IT podpory i administrátorů jednotlivých aplikací či systémů.

Mezi nejčastější operace patří kompletní vyčítání a zpracování logů o přihlášení a přístupech uživatelů do systému, rychlé dohledání a filtrace potřebných informací z logů, používání automatických upozornění na nestandardní stavy a vyčítání logů z provozované síťové infrastruktury, včetně bezpečnostních zařízení.

Logmanager svým sjednocením ukládání logů a jejich zabezpečením splnil všechny očekávané cíle. Zákazník přitom nejvíce oceňuje:

  • Rychlé nasazení včetně úvodního ověření vlastností během testů před koupí a možnost okamžitého využívání,
  • korelaci logon/logoff operací napříč celou síťovou infrastrukturou,
  • vyhodnocování přístupu uživatelů k souborům a systémovým prostředkům,
  • sledování konfiguračních změn prováděných administrátory a operátory systému,
  • rychlou diagnostiku a řešení bezpečnostních incidentů,
  • podklady pro forenzní analýzu při vyšetřování bezpečnostních incidentů,
  • zrychlení při odstraňování technických problémů systémů,
  • možnost postupného škálování v rámci zemí z centrálního na distribuované řešení,
  • otevřené řešení pro snadnou integraci systémů, které nejsou podporovány přímo výrobcem,
  • unifikované a snadné vyhledávání napříč všemi typy dat a zařízení,
  • přehlednost a minimální nároky na operativu,
  • vysoký výkon,
  • detailní nastavení přístupových práv k ukládaným datům i systémovým oprávněním.

Pokud se chcete o Logmanageru dozvědět více, neváhejte nás kontaktovat nebo si zarezervujte nezávaznou konzultaci s naším expertem. Případová studie byla realizována ve spolupráci se společností BIT SERVIS s.r.o.